我们有许多运行 Red Hat 5 的服务器(应用服务器、Web 服务器和 FTP 服务器),它们都是虚拟的。我们还有一个基于 Windows 的类似设置。昨天,我们的基础设施团队需要关闭主域控制器,以便将物理服务器移到新机架。他们的假设是,一旦主域控制器关闭,辅助域控制器就会接替。一旦主域控制器关闭,基于 Linux 的应用服务器都会变得非常缓慢,以至于仅仅尝试通过 ssh 登录就需要大约 3 分钟。
在我们完成问题故障排除之前,基础设施团队已经能够使主域控制器重新上线。
在主域控制器停机期间,所有基于 Windows 的服务器似乎都运行正常。
我们首先想到的是 Linux 服务器没有将辅助域控制器列为 DNS 服务器,但事实并非如此。Red Hat 服务器除了将其用作 DNS 服务器外,不与任何 AD 功能绑定。
还有什么想法我们可以检查吗?我们不是真正的 Linux 系统管理员,所以我不确定我们是否遗漏了一些非常基本的东西。
答案1
取决于您使用什么进行身份验证。听起来您使用的故障恢复机制要么花费的时间太长,要么运行得太慢。如果您使用 LDAP 进行身份验证,并且在配置中列出了一个 IP 地址以供检查,那么您看到的情况完全适合这种情况。如果您使用 Winbind,它应该足够智能,可以故障转移到另一个域控制器,但做出该决定仍可能需要一段时间。
我认为“LDAP-auth 配置中只能列出一个 LDAP 服务器”的问题已经存在一段时间了。一种解决方法是将其指向的 DNS 条目设为多个域控制器之间的循环 DNS 条目。另一种可能性是,如果您拥有相应的基础设施,则将地址托管在负载平衡器上;我在以前的工作中就是这么做的,效果很好。
答案2
RHEL 服务器是否使用 DNS 作为 DNS 解析器,或者使用它来连接其他服务?您是否检查过这些服务器上的日志(例如 /var/log/messages)以了解发生了什么?
在我看来,服务器上的一些服务非常依赖于域,而无法解析这些域就会导致需要大力尝试重新连接到这些域。
您可以通过暂时暂停 RHEL 服务器正在使用的域来测试这一点。
答案3
尝试关闭 /etc/ssh/sshd_config 中的“GSSAPIAuthentication”。我遇到过类似的问题,用这种方法解决了。我认为某些 SSO GSSAPI 功能会尝试进行反向查找,如果 DNS 服务器处于离线状态,这种查找当然会失败。